Gerenciando a Política do Firewall LAN Next Gen do Socket

Este artigo explica como configurar as regras do Firewall LAN Next Gen do Socket para rotear e controlar o tráfego do site localmente no Socket. Para mais informações sobre o Socket Next Gen LAN Firewall, veja O que é o Firewall LAN de Socket Next Gen.

Visão geral

Configurar regras de Rede LAN para definir o tráfego a ser roteado localmente com transporte LAN, em seguida criar regras de Firewall LAN relacionadas para impor a Política de Implantação de segurança para o tráfego.

Este é um exemplo de fluxo de trabalho em alto-nível para configurar a política:

  1. Determine quais sites requerem capacidades de aplicação de Camada 7 e configure-os na política.

    Isso habilita a aplicação de Camada 7 para regras do Firewall LAN, bem como eventos com dados de Camada 7 para o site.

  2. Monitorar o desempenho e eventos de CPU do Socket nos sites para avaliar o impacto de ativar a Camada 7.
  3. Criar regras de Rede LAN para definir qual tráfego do site é roteado localmente através do Socket em vez de pela WAN.
  4. Para cada regra de Rede LAN, criar regras de Firewall LAN para aplicar a política de segurança para o tráfego.

Capacidade de Ativação da Camada 7 para um Site

Habilite capacidades de inspeção de Camada 7 para tráfego de um site. Após estar ativado, o Socket realiza inspeção profunda de pacotes no tráfego, quer uma regra de Firewall LAN esteja configurada ou não, enquanto houver tráfego definido para usar transporte LAN (veja O que é o Socket Next Gen LAN Firewall). Isso significa que dados de Camada 7 aparecem em eventos para o tráfego do site, incluindo campos como Aplicações, Risco do App, e App Personalizado. Isso também impacta o uso da CPU do Socket.

LAN_Firewall_L7_Sites.png

Para ativar a capacidade da Camada 7 para um site:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Selecione a guia Camada 7 Sites.
  3. Clique em Novo. O painel Adicionar Site se abre.
  4. No Site, selecione um ou mais sites da lista suspensa de sites do Socket.
  5. Clique em Aplicar. O site é adicionado à lista de sites da Camada 7.
  6. Clique em Salvar. A funcionalidade da Camada 7 está configurada para o site.

Criação de Regras de Rede LAN

Crie uma nova regra de Rede LAN e configure as configurações para definir o transporte para o tráfego. Para regras definidas com transporte LAN, você pode adicionar regras de Firewall LAN para gerenciar o controle de acesso para o tráfego. Para mais informações, veja abaixo Criar Regras de Firewall LAN.

LAN_Firewall.png

Para criar uma regra de Rede LAN:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Clique em Novo e no menu suspenso selecione Nova Regra de Rede LAN. O painel Nova Regra de Rede se abre.
  3. Digite o Nome para a regra.
  4. Ative ou desative a regra usando o controle deslizante (verde está ativado, cinza é desativado).

  5. Configure a Posição e a Direção para a nova regra.

    • Por padrão, a regra é aplicada em uma direção, da Fonte para o Destino. Clique no menu suspenso Direção para definir a regra para operar em Ambos os sentidos.
  6. Expanda a seção Site e selecione um ou mais sites ou grupos de sites aos quais a regra se aplica. O valor padrão é Qualquer.
  7. Expanda a seção Fonte e selecione um ou mais objetos para a fonte do tráfego para esta regra.
    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuário, Qualquer). O valor padrão é Qualquer.
    2. Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.
  8. Expanda a seção Destino e selecione um ou mais objetos de destino para esta regra.
    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuário, Qualquer). O valor padrão é Qualquer.
    2. Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.
  9. Expanda a seção Critérios e adicione as condições do dispositivo à regra. Para mais informações, veja Adicionando Condições de Dispositivo às Regras de Firewall. Os valores padrão são Qualquer.
    Nota: Os critérios para Firewall LAN são suportados a partir da versão 26 do Socket e superior.

  10. Expanda a seção Serviço/Porta e selecione os protocolos que a regra aplica com uma das seguintes opções:

    • Serviço Simples - Selecione os serviços de Camada 4 relevantes na lista.

      A lista de serviços predefinidos é baseada na definição RFC de cada serviço.

    • IServiço Personalizado - Insira a porta e o protocolo relevantes no formato "Protocolo/Porta" (ex.: TCP/80-88, UDP/53, ICMP)

    O valor padrão é Qualquer.

  11. (Opcional) Expanda a seção NAT para habilitar NAT na interface de saída. Isso traduz todos os IPs de origem para um IP NAT.

    image.png

  12. Selecione o Transporte para o tráfego que corresponde à regra. As opções são:

    • LAN - O tráfego é roteado localmente pelo Socket e não enviado para o PoP
    • WAN - O tráfego é enviado através da WAN para o PoP para inspeção

  13. Clique em Salvar.

    As mudanças são salvas em sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.

Criando Regras de Firewall LAN

Crie uma nova regra de Firewall LAN e configure as configurações para gerenciar o controle de acesso para o tráfego. Uma regra de Firewall LAN só pode ser configurada com objetos dentro do escopo da sua regra de Rede LAN pai.

Regras para sites habilitados com capacidades de Camada 7 podem incluir condições com objetos de camada de aplicação como Aplicação e Domínio. Se as regras para sites sem capacidades de Camada 7 incluírem esses objetos, as regras não funcionarão corretamente.

Nota: Tráfego dentro do mesmo site que não corresponde a uma regra de Firewall LAN é considerado tráfego WAN, mesmo que viaje até o PoP e volte para o mesmo site.

Nota

Nota: Para usar objetos Usuário e Grupo de Usuários nos campos Fonte e Destino, ou para utilizar critérios de dispositivo em uma regra, entre em contato com feature-releases@catonetworks.com para mais informações sobre como habilitar e usar esse recurso.

Para criar uma regra de Firewall LAN:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Clique em Novo e no menu suspenso selecione Nova Regra de Firewall LAN. O painel Nova Regra de Firewall abre.
  3. Insira o Nome para a regra.
  4. Habilite ou desabilite a regra usando o controle deslizante (verde é habilitado, cinza é desabilitado).

  5. Configure a Posição para a regra, e no menu suspenso Regras selecione a regra de referência relevante, da seguinte forma:

    • Para as opções Antes da Regra e Após a Regra, selecione no menu suspenso Regras uma regra de Firewall LAN sob a regra de Rede LAN relevante.
    • Para as opções Primeira na Regra e Última na Regra, selecione no menu suspenso Regras a regra de Rede LAN pai para esta regra.

  6. Configure a Direção para a regra.

    • Por padrão, a regra é aplicada em uma direção, da origem Para o destino. Clique no menu suspenso Direção para definir a regra para operar em Ambas as direções.
  7. Expanda a seção Origem e selecione um ou mais objetos de origem do tráfego para esta regra.
    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.
    2. Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.
  8. Expanda a seção Destino e selecione um ou mais objetos de destino para esta regra.
    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.
    2. Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  9. Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.

    Quando houver mais de um objeto App/Categoria em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.

    Nota: Apenas configure objetos App/Categoria para regras para sites com capacidades de Camada 7 habilitadas. Caso contrário, a regra não funcionará corretamente.

  10. Expanda a seção Serviço/Porta e selecione os protocolos que a regra aplica com uma das seguintes opções:

    • Serviço Simples - Selecione os serviços de Camada 4 relevantes na lista

      A lista de serviços predefinidos é baseada na definição RFC de cada serviço.

    • Serviço - Selecione os serviços de Camada 7 relevantes na lista
    • IServiço Personalizado - Insira a porta e o protocolo relevantes no formato "Protocolo/Porta" (ex.: TCP/80-88, UDP/53, ICMP)

    O valor padrão é Qualquer.

  11. Selecione a Ação para esta regra. As opções são Permitir e Bloquear.

  12. (Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificação. A frequência começa a contar após o envio da primeira notificação.

    Para mais informações sobre notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.

  13. Clique em Salvar.

    As mudanças são salvas em sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.

Monitoramento e Eventos

Você pode, opcionalmente, ativar o rastreamento de eventos para cada regra definida na política do Firewall LAN de Próxima Geração.

Nota

Nota: o tráfego do firewall LAN não será visível nos painéis de análise de aplicativos e rede.

Os eventos aparecem em Monitoramento de Site > Eventos.

  • Tipo de Evento - Segurança
  • Sub-Tipo - Firewall LAN

Para filtrar eventos do Firewall LAN:

  1. Vá para Início > Eventos.

  2. Clique em Filtro e selecione o campo, operador e valor relevantes.

    1. Campo - Múltiplos campos podem ser selecionados como um filtro. Por exemplo, podemos optar por filtrar por "Site de origem" ou "Sub-Tipo" (Firewall LAN)
    2. Operador - Escolha incluir ou excluir valores específicos (É, Não é) ou múltiplos valores (Em, Não em), por exemplo "Site de origem" com operador "Em" permite selecionar vários sites de origem como valores.
    3. Valor - O valor para o campo.

  3. Clique em Adicionar filtro.

    image.png
image.png

No exemplo seguinte, você pode ver os detalhes de um evento do Firewall LAN.

  • Ação - Bloquear ou Monitorar. (O tráfego foi bloqueado ou permitido localmente pelo Firewall LAN)
  • Nome do Host Configurado - Informações adicionais do host sobre o IP de origem, se disponível.
  • Sub-Tipo - Firewall LAN.  Todos os eventos gerados pelo Firewall LAN terão este sub-tipo.
  • Regra de Rede - A regra de Rede LAN principal para a regra do Firewall LAN que gerou o evento.
  • Nome da Regra - O nome da regra do Firewall LAN que gerou o evento.
LAN_FW_L7_Event.png

Ao contrário do Firewall WAN ou de Internet, onde eventos são gerados pelo PoP da Cato, eventos do Firewall LAN são gerados no próprio Socket. Estes eventos são enviados pelo túnel do site para serem armazenados na Aplicação de Gerenciamento da Cato. 

Todo o tráfego de fluxo sobre o túnel é priorizado antes dos eventos do Firewall LAN, que têm uma prioridade de QoS padrão de 255 e podem gerar sobrecarga adicional. 

A Cato recomenda seguir apenas regras de Firewall LAN de alta prioridade para evitar sobrecarga adicional sobre o túnel.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário